Заметки из лаборатории
Полнофункциональный продукт Firewall Server 4.0 предоставляет набор простых инструментов для работы с Сетью
Занятые люди стремятся покупать все в одном месте, и версия 4.0 продукта BorderWare Firewall Server корпорации Secure Computing (Розвилл, шт. Миннесота) поддерживает эти устремления.
Система управления продуктом BorderWare, созданная на базе браузера,
проста в использовании
Она не только включает такие стандартные приложения для работы с Internet, как сервер имен, почтовый и FTP-сервер, сервер новостей и World Wide Web, но также предлагает дополнительные компоненты для поддержки VPN (виртуальные частные сети) и SSN (сети с защищенными серверами). Более того, BorderWare Firewall Server 4.0 использует Web-браузер Navigator 2.02 корпорации Netscape Communications в качестве оболочки администрирования (браузер в комплект поставки не входит); администраторы могут запускать Java-приложения из-под Navigator, что делает сервер более интерактивным, а также упрощает настройку клиентов.
BorderWare Firewall Server 4.0 стоит $7000 за лицензию на неограниченное число пользователей.
Хотя многие функции Firewall Server 4.0 привлекут внимание компаний, желающих быстро подключиться к сети, результаты тестов, проведенных PC Week Labs, говорят о том, что для обслуживания более сложных сетей могут лучше подойти специализированные продукты третьих фирм.
Например, встроенный Web-сервер не поддерживает ни Common Gateway Interface (общий интерфейс шлюза), ни SSL (уровень защиты гнезд). Кроме того, содержимое Web-сервера можно обновить, лишь загрузив новые HTML-документы через FTP.
Поддержка IPsec
Тем не менее продукт обладает явными достоинствами. Во-первых, поскольку новый компонент VPN (предлагаемый за дополнительную плату в $3000) использует новый стандарт цифрового шифрования IPsec, введенный Целевой группой инженерной поддержки Internet (IETF), раскошеливаться на дорогие выделенные линии больше не придется: этот стандарт позволяет организовать защищенное соединение разнородных сетей через Internet.
Поскольку Firewall Server 4.0 - это первый продукт, поддерживающий частные виртуальные сети на базе стандарта IPsec, мы, конечно, не могли проверить его взаимодействие с другими продуктами. Большинство компаний решили подождать, пока IETF утвердит расширения стандарта IPsec, называемые Key Management (управление ключами). Какие-либо конкретные сроки принятия этого решения еще неизвестны.
Пока для работы с Firewall Server 4.0 необходимо сгенерировать ключи шифрования и ввести их в другой брандмауэр вручную. Как только расширения Key Management будут реализованы, они позволят системам автоматически согласовывать схемы шифрования.
Нам также понравилось, что Firewall Server можно дооборудовать поддержкой SSN за дополнительную плату в $3000. Чтобы создать защищенный SSN-сегмент, нужно установить третью сетевую плату для защиты различных серверов (Web, новостей, FTP и др.) от посягательств как из Internet, так и из внутренней сети. Такая конфигурация позволяет администраторам задействовать какой-нибудь полнофункциональный Web-сервер третьей фирмы, максимально сохранив при этом защиту и гибкость.
Использование браузера Navigator корпорации Netscape в качестве оболочки администрирования выглядит весьма оригинально. Настройка клиента намного упростилась, поскольку никакого специального ПО больше не требуется. Для доступа к программе администрирования используется любой сетевой компьютер, на котором установлен Navigator. Степень защиты повышает, например, реализация схемы аутентификации по карточке Cryptocard.
Мы были разочарованы тем, что программа администрирования Firewall Server не поддерживает протокол SSL, на базе которого можно было бы установить защищенный шифрованный канал связи. Когда в будущих версиях будет реализована поддержка SSL, администраторы получат возможность управлять брандмауэром из “внешнего мира”.
Графический интерфейс первого поколения на базе браузера далеко не идеален. Процесс настройки серверов-представителей (proxy-серверов) еще не полностью автоматизирован, поэтому предварительно следует внимательно изучить документацию.
Слабая поддержка аппаратуры
Чтобы обеспечить функции защиты, Firewall Server 4.0 был создан на основе сильно видоизмененной реализации ОС Unix фирмы Berkeley Software Distribution.
Самый большой недостаток этого продукта - весьма ограниченная поддержка аппаратных устройств: не поддерживаются даже стандартные жесткие диски с интерфейсом IDE. Даже несмотря на то что использованные в тестировании сетевые платы были указаны в списке поддерживаемых устройств, нам все же пришлось специально следить за тем, чтобы они были настроены в точном соответствии с документацией, вплоть до задания конкретных номеров прерывания (IRQ) и адресов ввода-вывода. Если этого не сделать, платы работать не будут.
Похоже, в одном вопросе Secure Computing перегнула палку - с защитой: покупателям нужно обращаться в службу технической поддержки для получения ключа активации, без которого продукт невозможно установить.
Однако после того как мы точно настроили подходящие аппаратные устройства, процесс настройки прошел гладко. И слава Богу, поскольку система оперативной помощи Firewall Server не является контекстно-зависимой и, говоря по правде, почти бесполезна. 4
Эрик Питерсон
Со старшим аналитиком Эриком Питерсоном можно связаться по адресу: eric_peterson@zd.com.
советы корпоративным покупателям
сила и слабость
BorderWare Firewall Server 4.0
Secure Computing Corp. Розвилл,
шт. Миннесота. Тел.: (800) 334-8195
http://www.borderware.com
+ Полнофункциональный пакет включает ряд серверов приложений для работы с Internet; дополнительный модуль IPsec предоставляет поддержку VPN; предлагается дополнительная поддержка SSN.
- Ограниченная поддержка аппаратуры; графический интерфейс требует доработки; система оперативной помощи бесполезна.
РЕЗЮМЕ
Хотя BorderWare Firewall Server 4.0 предоставляет множество функций и инструментов, которые могут помочь малым и средним компаниям быстро организовать защищенную связь через Internet, для обслуживания крупных или более сложных сетей лучше подойдут специализированные продукты третьих фирм.
